From 3b33398096dc721c094de70e351839de2b22400c Mon Sep 17 00:00:00 2001 From: shiraorie Date: Thu, 30 Oct 2025 12:35:49 +0500 Subject: [PATCH] 1 --- README.md | 139 ++++++++++++++++++++++++++++++++++++++++++++-- files/~$ssl .docx | Bin 0 -> 162 bytes 2 files changed, 133 insertions(+), 6 deletions(-) create mode 100644 files/~$ssl .docx diff --git a/README.md b/README.md index ff3fcde..a395a76 100644 --- a/README.md +++ b/README.md @@ -678,11 +678,6 @@ ________________________________________________________________________________ ***%hq ALL=(ALL) NOPASSWD: /bin/cat, /bin/grep, /usr/bin/id*** - - - - - ###

2. Сконфигурируйте файловое хранилище

(СДЕЛАТЬ SNAPSHOT, если не сделали, на HQ-SRV)

@@ -1427,7 +1422,9 @@ htpasswd –c /etc/nginx/.htpasswd WEB ##

МОДУЛЬ 3

-

1. Выполните импорт пользователей из файла users.csv. Файл будет располагаться на виртуальной машине BR-SRV в папке /opt

+###

1. Выполните импорт пользователей из файла users.csv. Файл будет располагаться на виртуальной машине BR-SRV в папке /opt

+ +

*BR-SRV*

- Сначала скачаем необходимую утилиту на *BR-SRV*: @@ -1435,6 +1432,10 @@ htpasswd –c /etc/nginx/.htpasswd WEB ***apt install curl -y*** +- Заберем с iso файл Users.csv + +>cp /mnt/Users.csv /opt/ + - Потом на BR-SRV скачиваем скрипт, который выполнит за нас задание, в нужную директорию: ***curl -o /opt/import_users.sh https://raw.githubusercontent.com/4bobus/laba/refs/heads/main/files/import_users.sh*** @@ -1461,6 +1462,132 @@ htpasswd –c /etc/nginx/.htpasswd WEB ***/opt/import_users.sh*** +###

2. Выполните настройку центра сертификации на базе HQ-SRV

+ +- Необходимо использовать отечественные алгоритмы шифрования +- Сертификаты выдаются на 30дней +- Обеспечьте доверие сертификату для HQ-CLI +- Выдайте сертификаты веб серверам +- Перенастройте ранее настроенный реверсивный прокси nginx на протокол https +- При обращении к веб серверам https://web.au-team.irpo и https://docker.au-team.irpo у браузера клиента не должно возникать предупреждений + +

*HQ-SRV*

+ +Шаг 1. Установка необходимых компонентов + +>apt update + +>apt install -y openssl ca-certificates + +Создаем каталаги для работы центра сертификации + +>mkdir -p /etc/pki/CA/{private,certs,newcerts,crl} + +>touch /etc/pki/CA/index.txt + +>echo 1000 > /etc/pki/CA/serial + +>chmod 700 /etc/pki/CA/private + +Создайте корневой ключ и сертификат (RSA 4096, SHA256): + +openssl req -x509 -new -nodes \ + -keyout /etc/pki/CA/private/ca.key \ + -out /etc/pki/CA/certs/ca.crt \ + -days 3650 \ + -sha256 \ + -subj "/CN=AU-TEAM Root CA" + +Шаг 2. Создайте CSR для веб-сервера + +> openssl genrsa -out /etc/pki/CA/private/web.au-team.irpo.key 2048 + +openssl req -new \ + -key /etc/pki/CA/private/web.au-team.irpo.key \ + -out /etc/pki/CA/web.au-team.irpo.csr \ + -subj "/CN=web.au-team.irpo" + +openssl genrsa -out /etc/pki/CA/private/docker.au-team.irpo.key 2048 + +openssl req -new \ + -key /etc/pki/CA/private/docker.au-team.irpo.key \ + -out /etc/pki/CA/web.au-team.irpo.csr \ + -subj "/CN=web.au-team.irpo" + +Шаг 3. Создайте конфигурационный файл для openssl ca + +Создайте /etc/ssl/openssl-ca.cnf: +[ ca ] +default_ca = CA_default + +[ CA_default ] +dir = /etc/pki/CA +certs = $dir/certs +crl_dir = $dir/crl +new_certs_dir = $dir/newcerts +database = $dir/index.txt +serial = $dir/serial +RANDFILE = $dir/private/.rand + +certificate = $dir/certs/ca.crt +private_key = $dir/private/ca.key +default_days = 30 +default_md = sha256 +preserve = no +policy = policy_anything + +[ policy_anything ] +countryName = optional +stateOrProvinceName = optional +localityName = optional +organizationName = optional +organizationalUnitName = optional +commonName = supplied +emailAddress = optional + +[ server_cert ] +basicConstraints = CA:FALSE +subjectKeyIdentifier = hash +authorityKeyIdentifier = keyid,issuer +keyUsage = critical, digitalSignature, keyEncipherment +extendedKeyUsage = serverAuth +subjectAltName = @alt_names + +[ alt_names ] +DNS.1 = web.au-team.irpo +DNS.2 = docker.au-team.irpo # если нужно для другого сертификата + +Шаг 4. Подпишите сертификат (ваша команда — но без ГОСТ) +openssl ca \ + -config /etc/ssl/openssl-ca.cnf \ + -in /etc/pki/CA/web.au-team.irpo.csr \ + -out /etc/pki/CA/certs/web.au-team.irpo.crt \ + -extensions server_cert \ + -days 30 \ + -batch + +openssl ca \ + -config /etc/ssl/openssl-ca.cnf \ + -in /etc/pki/CA/docker.au-team.irpo.csr \ + -out /etc/pki/CA/certs/docker.au-team.irpo.crt \ + -extensions server_cert \ + -days 30 \ + -batch + +Шаг 6. Настройка доверия на клиенте HQ-CLI +Скопируйте корневой сертификат: + +Шаг 7. Настройка Nginx на HTTPS +Пример конфига для web.au-team.irpo: +mkdir -p /etc/nginx/ssl +cp /etc/pki/CA/certs/web.au-team.irpo.crt /etc/nginx/ssl/ +cp /etc/pki/CA/private/web.au-team.irpo.key /etc/nginx/ssl/ +chown root:root /etc/nginx/ssl/* +chmod 600 /etc/nginx/ssl/*.key +nginx -t && sudo systemctl reload nginx + + + ###

3. Перенастройте ip-туннель с базового до уровня туннеля, обеспечивающего шифрование трафика

*HQ-RTR*

diff --git a/files/~$ssl .docx b/files/~$ssl .docx new file mode 100644 index 0000000000000000000000000000000000000000..042d89ad79a11b9b1afe5a0684e67d454131892a GIT binary patch literal 162 zcmWeQ^5(^-4=-LSTzvQX$%9Yt9x)ID1QU)tVhR(~uzQOjjK_v+Z^U`tVT^sir+?m!fnjxyiDe#;53{o>V|USydIknXm;jIl E0IKF7FaQ7m literal 0 HcmV?d00001